none
AD Zertifikatdienste - Problem mit Sperrlisten bei Zertifikaten für RDP RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo!

    Ich habe ein Problem mit der Absicherung von RDP Sitzungen über selbst erstellte Zertifikate auf einem bzw. mehreren Servern 2008R2. Den Werdegang beschreibe ich so kurz wie möglich:

    • in einer Windows Server 2008R2 Domäne habe ich auf einem Server die AD Zertifikatdienste installiert und eine Stammzertifizierungsstelle für die Domäne angelegt
    • dann habe ich eine Zertifikatvorlage zur Serverauthentifizierung erstellt und diese per GPO einem Testserver als Zertifikat für RDP Sitzungen mitgegeben ("Zertifikatvorlage für Serverauthentifizierung")
    • nach Anwendung der GPO auf dem Testserver wird das Zertifikat auch korrekt ausgestellt und bei einem RDP Verbindungsversuch verwendet
    • wenn ich mich jedoch nun von außerhalb (mittels VPN oder RD Gateway [der tadellos mit seinem Zertifikat funktioniert]) auf den Testserver verbinden möchte, erhalte ich den Fehler "Es konnte keine Sperrprüfung für das Zertifikat durchgeführt werden."

    Ich verwende dazu einen PC mit Windows 8.1 und wenn ich die URL der Sperrliste in meinem Browser aufrufe, wird sie problemlos heruntergeladen. Hier verwende ich die URL, die ich im Zertifikat finde, welches mir in der Warnung angezeigt wird (siehe Screenshot). Auch certutil zeigt keine für mich sichtbaren Probleme. In den Zertifikatdiensten ist entsprechend die Veröffentlichung per HTTP aktiviert und auch von außen anonym erreichbar.

    Im Knoten Unternehmens-PKI der Zertifikatdienste sind die Sperrlisten und die Delta Sperrliste mit dem Status "OK" und jeweils einer LDAP und der HTTP Adresse aufgeführt. Das Root Zertifikat meiner Stammzertifizierungsstelle liegt im Ordner "Vertrauenswürdige Stammzertifizierungsstellen" des lokalen Windows 8.1 Computers. Auch die Zertifikatkette stimmt, das Server Zertifikat ist ein Knoten unterhalb des Root Zertifikats.

    Ich könnte noch weitere Details nennen, will aber erst einmal keine überflüssigen Informationen geben da ich mein Wissen zu diesem Thema auch nur aus Foren und Tutorials habe. Über Hilfe zu diesem Problem wäre ich sehr dankbar und kann gern weitere Details und Infos geben. Natürlich ist das derzeit nur ein "Schönheitsfehler" der ignoriert werden kann wonach die RDP Verbindung auch funktioniert. Jedoch wäre eine saubere Lösung natürlich schön.

    Vielen Dank!


    • Bearbeitet Daniel Drewitz Sonntag, 16. März 2014 23:29 Schönheitsfehler
    Sonntag, 16. März 2014 23:28
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 17.03.2014 10:41, schrieb Daniel Drewitz:

    Das hatte ich nicht erwähnt, die FQDN der beteiligten Geräte in
    unserem Netzwerk kann auch von außerhalb aufgelöst werden.

    Ah, ok.

    Was ich nun allerdings überhaupt nicht begreife ist, dass es
    plötzlich und ohne irgendeine Veränderung funktioniert!

    Reboot tut gut ;-) Mal beobachten was weiterhin passiert.

    Jetzt habe ich jedoch sofort ein anderes Problem:
    Mit der GPO "Zertifikatvorlage für Serverauthentifizierung" fordert
    einer (nur einer) unserer Server bei jeder Richtlinienauswertung im 5
    Minuten Takt ein neues Zertifikat an

    Spontan würde ich mal das Auto-Enrollment auf der Vorlage ausschalten, was nicht das Problem löst, aber keine weiteren Zertifikate ausstellt.
    Hat der Rechner eine falsche Uhrzeit, das er glaubt das Zert ist abgelaufen? Ist es evtl. eine Testvorlage, die tatsächlich nur kurz gültig ist?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 17. März 2014 12:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    neue Sperrlisten werden erst angefordert, wenn die Liste im Client-Cache abgelaufen ist.

    Falls Du eine zeinahe Prüfung benötigst, musst Du einen Online Responder verwenden.

    ---

    Den Verbindungsaufbau kannst Du z.Bsp. mit dem MS Netzwerkmonitor verfolgen.

    ---

    Das Problem mit dem Massenrollout von Zertifikaten lässt sich durch Abschalten vom auto enrollment lösen. Der empfohlene Weg ist es, den Computern die Berechtigung 'Registieren' zu geben. Die GPO 'Zertifikatsvorlage ...' sorgt dafür, dass sich der RDS Host rechtzeitig ein neues Zertifikat holt.

    http://blogs.msdn.com/b/rds/archive/2010/04/09/configuring-remote-desktop-certificates.aspx

    http://msviennatechnoblog.wordpress.com/2012/08/04/configuring-remote-desktop-certificates-2/

    This posting is provided AS IS with no warranties.

    Montag, 17. März 2014 18:26
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 17.03.2014 00:28, schrieb Daniel Drewitz:

    * wenn ich mich jedoch nun von außerhalb (mittels VPN oder RD Gateway
    [der tadellos mit seinem Zertifikat funktioniert]) auf den Testserver
    verbinden möchte, erhalte ich den Fehler "*Es konnte keine
    Sperrprüfung für das Zertifikat durchgeführt werden.*

    Die Frage ist, welchen DNS verwendet die Prüfung zu dem Zeitpunkt über VPN. Wenn es der externe DNS ist, dann kennt der deine interne URL nicht.

    Teste mal was hässliches: Trage den CRL Server in die Hostsdatei des Rechners ein.

    Tschö
    Mark
     -- Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 17. März 2014 07:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark!

    Das hatte ich nicht erwähnt, die FQDN der beteiligten Geräte in unserem Netzwerk kann auch von außerhalb aufgelöst werden. Ein nslookup liefert immer die korrekte IP, auch von außerhalb. Unsere Domain ist einer anderen untergeordnet, deren DNS wir intern auch verwenden und der öffentlich ist.

    Unsere Adressen im Format rechner.unseredomain.übergeordnetedomain.de (wie sie auch in der Sperrlisten URL und allen Zertifikaten stehen) sollten also kein Problem darstellen. Und wenn ich die URL der CRL Datei aufrufe, wird sie stets ohne weiteres heruntergeladen, egal ob im Netz oder außerhalb, mit VPN oder ohne.

    Was ich nun allerdings überhaupt nicht begreife ist, dass es plötzlich und ohne irgendeine Veränderung funktioniert! Gestern habe ich mehrere Rechner mit entsprechenden Zertifikaten versehen und bei jedem trat der Sperrlisten Fehler auf. Nun funktionieren alle scheinbar vollkommen problemlos und ich weiß nicht warum.

    Jetzt habe ich jedoch sofort ein anderes Problem:

    Mit der GPO "Zertifikatvorlage für Serverauthentifizierung" fordert einer (nur einer) unserer Server bei jeder Richtlinienauswertung im 5 Minuten Takt ein neues Zertifikat an und bekommt es auch. Es sind bereits über 150 nach nur wenigen Stunden. Woran könnte das liegen?

    Das mit der Sperrprüfung werde ich weiter beobachten. Kann man die Sicherheitsverhandlungen beim Aufbau der RDP Sitzung auf irgendeine Art nachvollziehen oder in einem Log einsehen? Nur um zu überprüfen, ob auch die richtigen Zertifikate beteiligt sind. Nicht, dass es aus einem anderen "falschen" Grund plötzlich funktioniert.

    Danke für die Hilfe!

    Montag, 17. März 2014 09:41
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 17.03.2014 10:41, schrieb Daniel Drewitz:

    Das hatte ich nicht erwähnt, die FQDN der beteiligten Geräte in
    unserem Netzwerk kann auch von außerhalb aufgelöst werden.

    Ah, ok.

    Was ich nun allerdings überhaupt nicht begreife ist, dass es
    plötzlich und ohne irgendeine Veränderung funktioniert!

    Reboot tut gut ;-) Mal beobachten was weiterhin passiert.

    Jetzt habe ich jedoch sofort ein anderes Problem:
    Mit der GPO "Zertifikatvorlage für Serverauthentifizierung" fordert
    einer (nur einer) unserer Server bei jeder Richtlinienauswertung im 5
    Minuten Takt ein neues Zertifikat an

    Spontan würde ich mal das Auto-Enrollment auf der Vorlage ausschalten, was nicht das Problem löst, aber keine weiteren Zertifikate ausstellt.
    Hat der Rechner eine falsche Uhrzeit, das er glaubt das Zert ist abgelaufen? Ist es evtl. eine Testvorlage, die tatsächlich nur kurz gültig ist?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 17. März 2014 12:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Die Zertifikate sind 1 Jahr gültig, Uhrzeit stimmt auch. Aber ja, das Auto-Enrollment habe ich dann jetzt wirklich abgeschaltet, die Liste wurde immer länger. Das ist auch keni Problem, so lange das letzte Zertifikat tatsächlich immer für RDP genutzt wird und nicht wieder das selbstsignierte hereinspringt. So habe ich auch gleich einen Packen Zertifikate für die Sperrliste! ;-)

    Hierzu fiel mir noch etwas auf. Nachdem die Fehlermeldung mit der Sperrprüfung nicht mehr kam, habe ich einfach mal den Port 80 auf dem Zertifizierungsserver dicht gemacht. Jedoch funktionierte die Verbindung weiterhin ohne Fehlermeldung. Wird die Sperrliste bei jedem Verbindungsversuch abgefragt, oder erst wieder wenn der Zeitpunkt "Nächste Aktualisierung" oder "Nächste Sperrlistenveröffentlichung" in der Sperrliste überschritten ist?

    Danke für deine Hilfe!

    Montag, 17. März 2014 13:09
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    neue Sperrlisten werden erst angefordert, wenn die Liste im Client-Cache abgelaufen ist.

    Falls Du eine zeinahe Prüfung benötigst, musst Du einen Online Responder verwenden.

    ---

    Den Verbindungsaufbau kannst Du z.Bsp. mit dem MS Netzwerkmonitor verfolgen.

    ---

    Das Problem mit dem Massenrollout von Zertifikaten lässt sich durch Abschalten vom auto enrollment lösen. Der empfohlene Weg ist es, den Computern die Berechtigung 'Registieren' zu geben. Die GPO 'Zertifikatsvorlage ...' sorgt dafür, dass sich der RDS Host rechtzeitig ein neues Zertifikat holt.

    http://blogs.msdn.com/b/rds/archive/2010/04/09/configuring-remote-desktop-certificates.aspx

    http://msviennatechnoblog.wordpress.com/2012/08/04/configuring-remote-desktop-certificates-2/

    This posting is provided AS IS with no warranties.

    Montag, 17. März 2014 18:26
    |
  • Question
    Anmelden
    0
    Anmelden

    neue Sperrlisten werden erst angefordert, wenn die Liste im Client-Cache abgelaufen ist. Falls Du eine zeinahe Prüfung benötigst, musst Du einen Online Responder verwenden.

    Alles klar. Das ist dann vollkommen ok so, schnellere Prüfungen sind nicht erforderlich.

    Das Problem mit dem Massenrollout von Zertifikaten lässt sich durch Abschalten vom auto enrollment lösen. Der empfohlene Weg ist es, den Computern die Berechtigung 'Registieren' zu geben. Die GPO 'Zertifikatsvorlage ...' sorgt dafür, dass sich der RDS Host rechtzeitig ein neues Zertifikat holt.

    Ich hatte die Verteilung nach der Anleitung unter dem ersten Link (Part I) vorgenommen. Auto Enrollment ist nicht aktiviert. Untedessen konnte ich noch einen Fehler beseitigen, der im Anwendungslog des btroffenen Servers bei jeder Richtlinienüberprüfung zu Warnungen führte: dort waren noch unterdessen abgelaufene Zertifikate der CA im Speicher. Diese habe ich gelöscht und dann waren zumindest die Warnungen weg.

    Jedoch bezieht der Server leider noch immer im 5 Minuten Takt ein neues Zertifikat. Im Ereignislog tritt dann stets das Event Tripel 65, 19 und 66 der Quelle CertificateServicesClient-CertEnroll auf:

    1. 65: Die Zertifikatregistrierung für Lokales System wurde vom Richtlinienserver {...} [hier kein FQDN?] erfolgreich authentifiziert.
    2. 19: Von der Zertifikatregistrierung für Lokales System wurde ein Zertifikat RemoteDesktopComputer [das ist die kopierte Vorlage aus der Anleitung] mit der Anforderungs-ID XY von der Zertifizierungsstelle ...\TEK CA erfolgreich empfangen.
    3. 66: Die Zertifikatregistrierung für Lokales System wurde vom Registrierungsserver ...\TEK CA erfolgreich authentifiziert.

    Nur ein Server und möglicherweise auch ein Client machen diese Probleme. Der Server hat bereits hunderte Zertifikate angefordert und ausgestellt bekommen (siehe Screenshot des Protokollausschnitts). Alle anderen verhalten sich "gesittet" und fordern ihr Zertifikat nur einmal an. Deaktiviere ich jedoch die GPO für die RDP Vorlage, springen alle Geräte der OU in kürzester Zeit wieder auf ihre selbstsignierten Zertifikate zurück. Damit ist dann auch wieder keinem geholfen.
    Wenn ich die GPO für die betroffenen Geräte deaktiviert lasse und das Zertifikat manuell in den RDP-TCP Einstellungen des RDS Hosts setze, bliebe es dann dauerhaft bestehen?

    Das Anwendungs- und Systemlog des betroffenen Geräts ist sonst sauber. Hättet ihr noch eine Idee, wo ich der Sache weiter auf den Grund gehen könnte? Ein plumper Server Neustart hat natürlich auch nichts bewirkt.

    Danke!

    Dienstag, 18. März 2014 02:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    die RDS Hosts behalten normalerweise das in den Verbindungseigenschaften eingestellte Zertifikat.

    Wenn es nur einer von n Servern ist, würde ich das eigentliche Vorgehen nicht in Frage stellen, sondern einfach einen neuen Server aufsetzen.

    This posting is provided AS IS with no warranties.

    Dienstag, 18. März 2014 06:02
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo,

    Wenn es nur einer von n Servern ist, würde ich das eigentliche Vorgehen nicht in Frage stellen, sondern einfach einen neuen Server aufsetzen.

    tatsächlich hat ein Neustart des Servers bewirkt, dass seitdem kein neues Zertifikat angefordert wurde (so viel zu "Reboot tut gut" von Mark oben!). Notfalls weise ich das Zertifikat dort auch manuell zu und deaktiviere die GPO.

    Jedoch fordern auch einige Clients wiederholt Zertifikate an. Hier frage ich mich, wie es dazu kommt. Mein Verständnis wäre: der Client/Server fordert nach GPO Auswertung beim ersten Mal ein Zertifikat an, weil noch keines von der angegebenen Vorlage vorhanden ist. Dieses gilt 1 Jahr. Bei der nächsten GPO Überprüfung sieht das Gerät "okay, Zertifikat aus der Vorlage ist vorhanden und gültig, ich brauche kein neues" und das wars.

    Wie kann es zur wiederholten Anforderung kommen obwohl ein gültiges Zertifikat vorhanden ist? Auch mehrere andere Geräte tun das, jedoch in deutlich größeren Intervallen von Stunden oder Tagen. Im Prinzip ist das kein Beinbruch, aber ich fürchte, dass die Liste der ausgestellten Zertifikate nach einigen Tagen oder Wochen schon wieder deutlich um viele sinnlose und nicht verwendete Zertifikate gewachsen sein wird.

    Dienstag, 18. März 2014 13:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Das mit dem Zertifikatsrollout ist merkwürdig. Ich nutze auch auto enrollment für diverse Systeme und habe damit keine Probleme.

    Eventuell solltest Du dafür nochmal ein neues Thema eröffnen.

    This posting is provided AS IS with no warranties.

    Dienstag, 18. März 2014 18:15
    |
  • Question
    Anmelden
    0
    Anmelden
    Ja, das werde ich machen. Das Threadproblem vom Anfang ist ja schon gelöst. Danke euch bis hierhin!
    Dienstag, 18. März 2014 18:19
    |
  • Question
    Anmelden
    1
    Anmelden

    Am 18.03.2014 14:58, schrieb Daniel Drewitz:

    Jedoch fordern auch einige Clients wiederholt Zertifikate an. Hier frage ich mich, wie es dazu kommt.

    An dem Punkt rätsel ich ebenfalls. Die Logik ist generell so, wie du si dir denkst. Solange das Zertifikat gültig ist, wird kein neues benötigt.

    Die Versionierung der Zertifikatsvorlage sollte ebenfalls eine Rolle spielen, sodass es nur bei einem Update erneut ausgerollt wird.

    Hast du per GPO unter CompKonf\AdmVorlagen\System\Gruppenrichtlinien eine der Client Side Extensions (speziell AdmVor oder Security) auf
    "Gruppenrichtlinie auch ohne Änderungen verarbeiten" = aktiviert konfiguriert?

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Sonntag, 23. März 2014 11:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Mark!

    Ein guter Hinweis mit den Einstellungen der Gruppenrichtlinienverarbeitung. Zwar sind keine Richtlinien konfiguriert, welche die Zertifikate betreffen könnten, jedoch konnte ich immerhin eine andere Einstellung entfernen!

    Das hat hiermit zwar nichts zu tun, jedoch verteilen wir auch Drucker per GPP, was regelmäßig die Anmeldung an der Domäne extrem verzögert. Hier war genau die Einstellung "Gruppenrichtlinie auch ohne Änderungen verarbeiten" bei der Druckerverarbeitung gesetzt.

    Jedoch habe ich das Zertifikat- Problem unterdessen wahrscheinlich in den Griff bekommen. Ursache waren vermutlich Unaufmerksamkeit beim Durcharbeiten der Anleitung zur Zertifikatverteilung und Ungeduld. Obwohl in der Anleitung deutlich darauf hingewiesen wird, dass zur Vermeidung eines Bugs der Zertifikatvorlagenname und der Anzeigename der Vorlage identisch sein sollen (z.B. keine Leerzeichen), war das bei mir nicht der Fall. 

    Nachdem ich das geändert hatte, hat bei mir bisher kein Client mehr ein Zertifikat mehrfach angefordert. Bei den betroffenen Servern hatte ich jedoch unterdessen die Richtlinie deaktiviert und das Zertifikat manuell den RDP-TCP Einstellungen hinzugefügt.

    So funktioniert nun alles tadellos. Ich hatte hier schon einen neuen Thread offen, konnte ihn aber nach ein paar Stunden schon wieder schließen! ;) Danke jedoch für deine Rückmeldung, die nun zur Klärung des Drucker-Problems beigetragen und wieder einmal mein GPO Wissen bereichert hat!

    Montag, 24. März 2014 18:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Am 24.03.2014 19:17, schrieb Daniel Drewitz:

    So funktioniert nun alles tadellos. Ich hatte hier schon einen neuen
    Thread offen, konnte ihn aber nach ein paar Stunden schon wieder
    schließen! ;) Danke jedoch für deine Rückmeldung, die nun zur Klärung
    des Drucker-Problems beigetragen und wieder einmal mein GPO Wissen
    bereichert hat!

    Cool. Das freut mich.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 24. März 2014 22:15
    |